<div dir="ltr"><div dir="ltr"><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Aug 22, 2019 at 9:14 PM Lukas Atkinson <<a href="mailto:opensource@lukasatkinson.de" target="_blank">opensource@lukasatkinson.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div>However, that 90 day window is awfully long. While this is the typical embargo period, it intends to give the vendor enough time to verify, investigate, and fix the vulnerability, and to prepare the distribution of patches. This tries to balance the vendor's ability to fix the issue with the end users interest to be quickly informed about open vulnerabilities in the software. (My use of “vendor” rather than “community” here is deliberate: such an embargo mostly makes sense in the context of closed or at least cathedral-style development.)</div></div></div></blockquote></div><div><br></div><div>As others have commented, it's not just vendors who may need embargo periods. Communities who share historic code origins can have a need to co-ordinate addressing CVEs as well, and my experience of a particular case has shown that even 90 days can be too short when one of those communities is failing to respect its obligations to its users.<br></div><div><br></div><div>I suggest fixing this number at some "universally accepted" value is a potential risk. Perhaps some mechanism such as "30 days unless otherwise declared by the copyright holder"?</div><div><br></div><div>S.</div><div>(in a personal capacity despite the from: address)</div></div></div>